Aktivně využívaná chyba Microsoft 0-day stále nemá opravu

mturhanlar | Getty Images

Výzkumníci minulý víkend varovali, že a chyba v diagnostickém nástroji podpory společnosti Microsoft by mohly být zneužity pomocí škodlivých dokumentů aplikace Word ke vzdálenému převzetí kontroly nad cílovými zařízeními. Microsoft uvolněný návod v pondělí včetně dočasných obranných opatření. Do úterý to měla americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury varoval že „vzdálený, neověřený útočník by mohl zneužít tuto zranitelnost“ známou jako Follina, „k převzetí kontroly nad postiženým systémem“. Microsoft však neřekl, kdy a zda bude oprava pro tuto chybu zabezpečení k dispozici, i když společnost uznala, že tuto chybu útočníci aktivně využívají ve volné přírodě. A společnost stále neměla žádné připomínky k možnosti opravy na dotaz WIRED.

Zranitelnost Follina v nástroji podpory Windows lze snadno zneužít speciálně vytvořeným dokumentem aplikace Word. Návnada je vybavena vzdálenou šablonou, která dokáže načíst škodlivý soubor HTML a nakonec umožní útočníkovi provést Příkazy Powershell v rámci Windows. Výzkumníci poznamenávají, že by chybu popsali jako „zero-day“ nebo dříve neznámou zranitelnost, ale Microsoft ji jako takovou neklasifikoval.

“Poté, co se veřejné povědomí o exploitu rozšířilo, začali jsme vidět okamžitou reakci od různých útočníků, kteří jej začali používat,” řekl Tom Hegel, hlavní výzkumník hrozeb v bezpečnostní firmě SentinelOne. Dodává, že zatímco útočníci byli doposud primárně pozorováni při využívání chyby prostřednictvím škodlivých dokumentů, výzkumníci objevili i jiné metody, včetně manipulace s obsahem HTML v síťovém provozu.

„Zatímco přístup se škodlivými dokumenty je velmi znepokojený, méně zdokumentované metody, kterými lze exploit spustit, jsou problematické, dokud nebudou opraveny,“ říká Hegel. “Očekával bych, že oportunističtí a cílení aktéři hrozeb využijí tuto zranitelnost různými způsoby, když je tato možnost k dispozici – je to příliš snadné.”

Tato chyba zabezpečení se vyskytuje ve všech podporovaných verzích systému Windows a lze ji zneužít prostřednictvím služeb Microsoft Office 365, Office 2013 až 2019, Office 2021 a Office ProPlus. Hlavní navrhovaná zmírnění od společnosti Microsoft zahrnuje deaktivaci specifického protokolu v nástroji Support Diagnostic Tool a použití Microsoft Defender Antivirus ke sledování a blokování zneužití.

Reagující na incidenty však tvrdí, že je zapotřebí více opatření, vzhledem k tomu, jak snadné je zneužít zranitelnost a kolik škodlivé aktivity je detekováno.

“Vidíme, jak různé subjekty APT začleňují tuto techniku ​​do delších infekčních řetězců, které využívají zranitelnost Follina,” říká Michael Raggi, výzkumník hrozeb pro zaměstnance bezpečnostní firmy Proofpoint, který se zaměřuje na hackery podporované čínskou vládou. 30. května 2022, pozorovali jsme, že čínský herec APT TA413 posílá škodlivou adresu URL v e-mailu, který se vydával za ústřední tibetskou správu. Různí aktéři se zapojují do souborů souvisejících s Follinou v různých fázích jejich infekčního řetězce, v závislosti na jejich již existující sadě nástrojů a nasazené taktice.

Výzkumníci také viděl škodlivé dokumenty vykořisťování Follina s cíli v Rusku, Indii, na Filipínách, v Bělorusku a Nepálu. Nejprve vysokoškolský výzkumník si všiml závady v srpnu 2020ale poprvé to bylo Microsoftu nahlášeno 21. dubna. Výzkumníci také poznamenali, že hacky Follina jsou pro útočníky obzvláště užitečné, protože mohou pocházet ze škodlivých dokumentů, aniž by se spoléhali na makra, což je velmi zneužívaná funkce dokumentů Office, kterou má Microsoft snažil se ovládnout.

„Proofpoint identifikoval řadu aktérů, kteří začleňují zranitelnost Follina do phishingových kampaní,“ říká Sherrod DeGrippo, viceprezident pro výzkum hrozeb společnosti Proofpoint.

S tímto skutečným využíváním je otázkou, zda pokyny, které společnost Microsoft dosud zveřejnila, jsou adekvátní a úměrné riziku.

„Bezpečnostní týmy by mohly vnímat nonšalantní přístup Microsoftu jako znamení, že se jedná o ‚jen další zranitelnost‘, což zcela jistě není,“ řekl Jake Williams, ředitel zpravodajství o kybernetických hrozbách v bezpečnostní firmě Scythe. “Není jasné, proč Microsoft tuto zranitelnost nadále bagatelizuje, zvláště když je aktivně využívána ve volné přírodě.”

Tento příběh se původně objevil na wired.com.

Leave a Comment